Entreprise de sécurité : découverte d’une vulnérabilité Zero Day affectant plus de 280 réseaux blockchain

Selon les informations du 14 mars, la société de sécurité blockchain Halborn a publié un document indiquant qu'en mars 2022, Halborn avait été embauché pour évaluer si la base de code open source Dogecoin contenait des vulnérabilités susceptibles d'affecter la sécurité de la blockchain. Au cours de cette évaluation, Halborn a découvert plusieurs vulnérabilités critiques et exploitables qui ont été corrigées par l'équipe Dogecoin. Cependant, après un examen plus large, Halborn a déterminé que la même vulnérabilité affectait plus de 280 autres réseaux, dont Litecoin et Zcash, mettant en danger plus de 25 milliards de dollars d'actifs numériques. Halborn a nommé cette vulnérabilité Rab13s.
Les vulnérabilités de Rab13 ont été découvertes dans le mécanisme de messagerie p2p du réseau affecté et, en raison de leur simplicité, elles augmentent la probabilité d'attaques. En exploitant cette vulnérabilité, un attaquant peut envoyer des messages de consensus malveillants soigneusement conçus à différents nœuds, provoquant l'arrêt de chaque nœud et exposant finalement le réseau à des risques tels que des attaques à 51 % et d'autres problèmes graves. Une deuxième vulnérabilité du service RPC permet à un attaquant de faire planter un nœud via une requête RPC. Cependant, une exploitation réussie nécessite des informations d'identification valides, ce qui réduit la probabilité que l'ensemble du réseau soit menacé en raison de l'exécution de commandes d'arrêt par certains nœuds. La troisième vulnérabilité permet à un attaquant d'exécuter du code dans le contexte de l'utilisateur exécutant le nœud via RPC. Cependant, cet exploit est moins probable car il nécessite des informations d'identification valides pour mener l'attaque.
Halborn a développé un kit d'exploitation pour Rab13s, incluant une preuve de concept avec des paramètres configurables pour démontrer les attaques contre différents réseaux. Toutes les informations techniques nécessaires ont été partagées avec les parties prenantes identifiées afin de les aider à corriger le bug et à publier les correctifs nécessaires pour la communauté et les mineurs. Pour les projets utilisant des nœuds basés sur UTXO (comme Dogecoin), il est recommandé de mettre à jour tous les nœuds vers la dernière version (1.14.6). En raison de la gravité du problème, Halborn ne publiera pas d'autres détails techniques ni d'exploitation pour le moment.